Så höjde MedMera Bank medvetenheten bland anställda

– Cybersäkerhet behöver inte kosta skjortan, men det kräver ett medvetet beteende och ett riskbaserat säkerhetsarbete. Börja med små steg och gör det till en del av företagets kultur, säger Teresia Willstedt, informationssäkerhets- och kontinuitetsansvarig på MedMera Bank.

Utbildning som ger resultat

Att se en informationsfilm eller läsa ett dokument om cybersäkerhet någon gång om året är sällan tillräckligt. MedMera Bank vill i stället göra cybersäkerhet lätt, pedagogiskt och relevant för deras verksamhet.

Vi har tillsammans med en leverantör utvecklat mikrokurser i cybersäkerhet som varje nyanställd får gå igenom. De korta och konkreta kurserna har fått mycket positiv feedback från medarbetarna och ger en stabil grund att stå på. Vi har också ett security awareness-program som går kontinuerligt. Det är bra att ha med sig i vardagen och skapar en viktig medvetenhet om säkerhet, säger Teresia.

Identifiera "guldäggen"

För ett mindre företag som MedMera Bank är det desto viktigare att göra rätt prioriteringar när det handlar cybersäkerhet. Teresia använder begreppet "guldäggen" för att beskriva de mest kritiska delarna av verksamheten.

– Allt handlar om data och information. Du måste veta vilken information som är affärskritisk och vilka system som är avgörande för att verksamheten ska fungera. Vad gör vi när vi drabbas av ett cyberhot? Det är frågor du måste ha svar på. Säkerhet är något som berör alla, inte bara de stora företagen.

Teresia lyfter även hur viktigt det är att arbeta med kontinuitet och genomföra en Business Impact Analysis (BIA).

Här handlar det om att förstå hur man påverkas vid en incident samt hur lång tid en verksamhetskritisk funktion kan vara avbruten utan att det får allvarliga konsekvenser.

Var beredd och ha en plan

MedMera Bank har också arbetat med att skapa kriskommunikationsplaner för att vara bättre förberedda i händelse av en större incident.

Har du ingen plan riskerar du att alla springer runt som yra höns om något händer. Men genom att vi har en plan kan vi se till att våra medarbetare vet hur de ska hantera situationen om något händer.

Hon betonar även vikten av att förstå sina attackytor, samt att testa sina backuper regelbundet för att säkerställa att de fungerar som tänkt.

– Kontrollera backuprapporter och ha tydliga rutiner för återställning av filer. Ett annat tips är att arbeta med rollbaserade grupper i stället för individbaserad åtkomst. Det gör det enklare att ha en tydlig översikt och kontrollera behörigheter, så att medarbetare inte sitter med fel, eller för höga rättigheter.

Säkerhetsmedvetenhet i vardagen

Teresia är en stark förespråkare för att göra säkerhet till en naturlig del av vardagen. Hon försöker vara synlig i verksamheten och delar regelbundet information på företagets interna kommunikationsplattform. När det till exempel är Black Friday skickar hon även ut påminnelser om att vara vaksam på leveransbedrägerier och nätfiske.

Det handlar om att så små säkerhetsfrön. Säkerhetsbeteendet måste sitta i ryggraden. Det kan vara enkla saker, som att låsa skärmen när du lämnar datorn, eller att alltid kontrollera avsändaren på ett mejl för att undvika nätfiske.

Råd till mindre företag

Teresia avslutar med några konkreta tips för mindre företag:

• Se till att ledningen tänker säkerhet först, medarbetare gör som deras chefer gör
• Se över era attackytor, vad är viktigast för er, var ni är mest sårbara och hur ni kan minska risken för attack.
• Ha en god lösenordspolicy på plats och använd tvåfaktorsautentisering, i det minsta för era mest kritiska resurser.
• Säkerställ att ni har en årlig utbildning i cybersäkerhet för alla medarbetare.
• Gör säkerhet till en naturlig del av vardagen och skapa en kultur där medarbetarna vågar fråga om något känns osäkert.